2020年 9月

企業のITセキュリティ講座

リモートワーク(テレワーク)におけるセキュリティ対策まとめ

ライター・吉澤亨史

新型コロナウイルスの影響により今年、多くの企業がリモートワークに移行した。そして、緊急事態宣言が解除された現在は、そのままリモートワークを継続する企業と、出社するスタイルに戻す企業に対応が分かれている。そもそも、リモートワークは働き方改革やDX(デジタルトランスフォーメーション)への対応に有効であるとして推進されてきたが、今回は急な対応となりセキュリティの面でも問題が多かった。ここでは、本格的なリモートワークの実施に向けて、セキュリティ上の問題点と解決策を紹介する。

そもそもリモートワークとは

リモートワーク(テレワーク)を、総務省では「ICT(情報通信技術)を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義している。また、ワークライフバランスの実現 、人口減少時代における労働力人口の確保、地域の活性化などへも寄与する、働き方改革実現の切り札となる働き方としており、普及促進に関するさまざまな取り組みを進めている。

東京オリンピック・パラリンピック競技大会開催時の交通混雑の緩和にも有効であるとして、2020年を目標に「テレワーク・デイズ」といった取り組みも行われてきた。2019年は7月22日から9月6日までを実施期間として行われ、全国で2,887団体、約68万人が参加したが、割合としてはまだまだ低い状況であった。

しかし、新型コロナウイルス感染症(COVID-19)の世界的な流行により、オリンピックは延期となり、日本でも緊急事態宣言が発令され、多くの企業がリモートワークに移行した。一般社団法人 日本経済団体連合会(経団連)の調査によると、会員企業(資産額1億円以上)406社のうち397社、実に97.8%がリモートワークを実施している。一方、東京商工リサーチ(TSR)が約1万8,000社を対象に実施した調査では、リモートワークの実施企業は約25%、中小企業では20%にとどまっており、普及しているとはいえない状況にある。

リモートワークに移行するためには、多くの準備が必要になる。まずは従業員が自宅などで業務に使用するノートPCなどを調達しなくてはいけない。また、通信回線の確保やビデオ会議の準備といったICT環境に関する整備、さらには勤怠管理をどうするかなど、多くの問題が解決されないままリモートワークに移行せざるを得ない企業も多かったと思われる。ところが、そのような状況であっても第二波の発生に備えてリモートワークを継続する企業が多いという調査結果も出ている。

リモートワーク(テレワーク)の概念

参照元:総務省「ICT利活用の促進」

目次へ戻る

リモートワークにおけるセキュリティ上の問題点

企業の内部で業務を行う場合は通常、企業独自のネットワークが形成され、ファイアウォールやIDS/IPSなどを介してインターネットに接続されるなど、基本的なセキュリティ対策が構築されている。しかしリモートワークの場合には、自宅や出先など企業のネットワークの外でPCなどを使用することになるため、そのためのセキュリティ対策が必須となる。

今回の新型コロナウイルスへの対応において、従業員にリモートワーク環境を提供できた企業と、そうではない企業があった。リモートワーク環境とは、業務環境としてのノートPCあるいはRDP(リモートデスクトップ)、通信環境としての無線LANルーターやVPNといったものだ。こうした環境があれば、リモートワークとはいえセキュリティを企業の管理下に置くことができる。

リモートワーク環境を提供できない企業の場合は、従業員が持つ個人のPC環境を業務に使用することになる。この場合はBYOD(Bring Your Own Device:個人デバイスの業務利用)の状態になり、企業側がリモートワーク環境に関与することは難しく、そのセキュリティ対策は従業員個人に委ねられることになる。サイバー攻撃は個人に対しても行われるので、セキュリティ意識を高めることが重要だ。

最も被害を受ける可能性の高い脅威は、メールやWeb経由の攻撃といえる。最近はソーシャルエンジニアリングの手法を使って巧妙にだまそうとする攻撃が多いため、注意が必要だ。また、無線LANルーターから個人の環境に侵入される可能性も高く、侵入されるとPC内のファイルにアクセスされる恐れがある。さらに、ファイルの管理にも気を付けたい。仕事用のファイルをうっかり個人のPCに保存してしまい、不正侵入した攻撃者に盗まれる可能性も否定できない。もちろんクラウドサービスの利用時も同様の脅威が存在する。

また、リモートワークに移行して利用機会が増えるものにビデオ会議システムがある。特に、招待を受けた際にユーザー登録を行うことなく会議に参加できる「Zoom」が人気だ。このZoomの利用者が急激に増えたことにはサイバー犯罪者も目を付けており、多くの脆弱(ぜいじゃく)性が明らかになった。この脆弱性を利用してビデオ会議に侵入し、画像にイタズラしたり不適切なビデオを流したりして妨害する「Zoom爆撃」(Zoom Bombing)も話題になった。重要な会議の内容が外部に流出してしまう可能性もある。

Zoom爆撃のイメージ

目次へ戻る

リモートワークに必要なセキュリティ対策

リモートワークにおける具体的なセキュリティ対策としては、企業側ではOSやアプリケーションなどのバージョン管理、ログインに関する管理、不審なメールの把握と周知、USBメモリーなど外部記憶装置の管理などが挙げられる。OSやアプリケーションの管理には、バージョンアップやセキュリティパッチの適用などが該当する。不審なメールに対しては、ウイルスメールやフィッシングメールなどの悪意のあるメールを検知したときに従業員への注意喚起を行う。

外部記憶装置の管理については、個人のものを使わず必ず企業が管理しているものを使うなど、リモートワークに限らず徹底すべきことといえる。このほかにも、RDPの管理やクラウドサービスの管理なども挙げられる。ビデオ会議システムについては、ログインにパスワードなどの認証をかけたり、メンバーがそろったら会議をロックして第三者が入れないようにしたりするなどの対策が必要になる。

個人では、OSやアプリケーションなどのバージョン管理、不審なメールの把握、外部記憶装置の管理などのほか、PCのログイン設定の見直し(パスワードの複雑化)、ルーターのログインパスワードの変更などによる外部からの不正アクセス対策が必要になる。また、業務用ファイルのPCへのダウンロードにも注意が必要だ。さらに、業務で使用するクラウドサービスを個人アカウントでも使用している場合には、ファイルの共有などにも気を付けたい。

リモートワークは満員電車や渋滞といった通勤の悩みが減る一方で、仕事とプライベートの区別が難しく、慣れるまで時間がかかるという。しかし、新型コロナウイルスは完全に沈静したわけではなく、今後、以前と全く変わらない環境に戻るとは考えにくい。規模が縮小される可能性はあるが、リモートワークが継続すると思われるので、自分が企業のウイークポイントとしてサイバー攻撃などの被害に遭わないよう、普段からセキュリティ意識を身に付けることが重要といえるだろう。

総務省や経済産業省、警視庁なども注意喚起を行っているのでチェックしておきたい(写真は警視庁パンフレット)

参照元:警視庁「テレワーク勤務のサイバーセキュリティ対策!」

目次へ戻る

関連記事

ライター紹介

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。サイバーセキュリティを中心に、IT、自動車など幅広い分野に対応。

ページID:00195414